Con datos y flujos de trabajo que crecen en volumen, “deambulan” por distintas fuentes y residen en diferentes partes, las empresas enfrentan el desafío de poder gestionar su almacenamiento de manera eficiente y protegida, independientemente de dónde estos se encuentren. Estas complejidades deben poder resolverse al considerar adoptar un esquema de nube híbrida. Por esta razón, y basados en la premisa “a la nube con confianza”, en KPMG hemos desarrollado un marco de trabajo con foco en la mitigación de riesgos sobre los datos, finanzas, proveedores de servicios, regulación y cumplimiento, operaciones y tecnología, que permite a las organizaciones reducir la incertidumbre producto de la migración de un workload a cualquier esquema cloud. Al respecto, haremos especial énfasis en lo relativo a los datos y su almacenamiento para el éxito de la migración:
Riesgo de incumplimiento de legislaciones aplicables y lineamientos de seguridad de la organización:
• Considerar los requerimientos de auditoría (incluyendo la auditabilidad del servicio prestado), ciberseguridad, seguridad, cualquier legislación y jurisdicción aplicable a la prestación de los servicios, entre otros. Existen legislaciones en el ámbito local que deben considerarse, por ejemplo, el proyecto de Ley de Protección de Datos Personales (Ley 19.628). Asimismo, la División de Gobierno Digital dispuso una guía de buenas prácticas para el uso de servicios cloud en la administración del Estado.
• Actualizar la política de seguridad de la información y forzar al proveedor al cumplimiento de sus exigencias. Es relevante diseñar una matriz para delimitar los roles y responsabilidades de todos los involucrados en el servicio (cliente/ proveedores). Esto permitirá hacer una “due dilligence” (diligencia debida) antes del inicio del servicio, entre los controles compartidos con el proveedor de servicios de la nube y los propios de la organización.
Riesgo de indisponibilidad de la información histórica:
A nivel contractual se deben considerar las pautas de acceso y eliminación de datos, estableciendo de manera explícita los períodos mí- nimos y máximos de retención de información (considerando pautas de reguladores y legislaciones asociadas) y datos almacenados por parte del proveedor de servicios de nube.
Riesgos de fuga de información
• Diseñar un flujo de datos detallando ubicación y seguridad inherente (datos en reposo, movimiento y en el punto final de almacenamiento), bajo las distintas legislaciones. Esto permitirá tener claridad sobre posibles vectores de fuga y controles aplicables al resguardo, no solo de la data almacenada, sino transferida o en movimiento. En esta instancia se debería considerar en la fase de diseño pautas de segregación de datos, aislamiento y necesidades de cifrado.
• Maximizar eficiencias usando servicios de nube pública para datos que no son críticos y almacenamiento en la nube privada para aquellos que requieren un mayor tratamiento de seguridad e incluso estén sujetos a alguna legislación aplicable.